«Armonizzare le regole di protezione dati dei 28 rappresenta quell’essenziale presupposto la cui mancanza ha concorso fortemente a ritardare il mercato digitale unico in Europa». Ne è convinto il Garante della Privacy Antonello Soro. Il nuovo Regolamento Ue apre scenari inediti seppur gli ostacoli sul cammino non siano pochi.
“Il ritardo con cui si arriva al traguardo ha contribuito a consolidare asimmetrie normative che hanno allargato il solco tra imprese europee e Usa. E questo solco è cresciuto a dismisura. Tuttavia non si può negare che il nuovo quadro giuridico conservi una grande ambizione riformatrice per fare fronte alle trasformazioni dell’innovazione tecnologica”.
Presidente cosa cambia davvero? Quale strada è stata tracciata?
Il Regolamento punta a garantire, nella società digitale, un maggior controllo da parte dei cittadini europei sui loro dati, prevedendo l’applicabilità delle regole comunitarie anche alle imprese extra Ue, quando il trattamento dei dati riguardi comunque l’offerta di servizi a persone fisiche europee. Significa ad esempio assoggettare gli Ott agli stessi vincoli cui sono soggetti le nostre telco. Si passa ad una visione più attiva e dinamica della protezione dei dati: maggiore responsabilità per i titolari, riduzione di obblighi formali, misure di semplificazione degli adempimenti. E da un approccio di tipo formalistico-autorizzatorio, si va ad un sistema incentrato sulla preventiva adozione ed implementazione di specifiche garanzie e meccanismi di protezione più efficaci. Altro elemento positivo: le disposizioni che incentivano i titolari ad investire, sin dall’inizio, in una corretta protezione dei dati (privacy by design, by default, valutazioni di impatto etc.), nonché l’obbligo generalizzato di notificare – in primis alle Autorità – i data breach e di nominare privacy officer.
Come saranno gestite tutte queste operazioni?
Il nuovo meccanismo dello sportello unico attribuisce, in estrema sintesi, la competenza ad assumere ogni tipo di misura, nonché ad esercitare eventuali poteri correttivi, all’Autorità del Paese dove ha sede lo “stabilimento principale” della società multinazionale. Va però ricordato che sono stati introdotti meccanismi per garantire che casi a carattere strettamente locale continuino ad essere decisi su base locale. Lo sportello unico – insieme al collegato principio del meccanismo di coerenza, che disciplina la ripartizione di competenze fra Autorità di controllo in casi transnazionali – rappresenta nel testo finale uno dei punti qualificanti per favorire il miglior equilibrio tra gli interessi delle imprese e la tutela dei diritti dei cittadini. Ritengo importante evidenziare il ruolo che viene riconosciuto alle Autorità, già sancito nel Trattato di Lisbona, dall’art. 47 del nuovo Regolamento che prevede, espressamente, Autorità nazionali di controllo forti, con poteri e compiti atti ad incidere sui processi di regolazione e fa obbligo agli Stati di provvedere a dare loro piena capacità di esercitare la propria attività con mezzi e risorse finanziare adeguate.
Dunque un giudizio positivo, nessuna criticità?
Suscita perplessità, tanto per fare un esempio, l’introduzione di una norma che consente ai titolari di utilizzare i dati raccolti per finalità diverse da quelle previste originariamente, a condizione che le ulteriori finalità siano ritenute dallo stesso titolare comunque compatibili, seppur sulla base dei criteri fissati dal regolamento. Si tratta di norme che – se interpretate in modo troppo elastico – rischiano di indebolire il livello di protezione dei dati e, dunque, la tutela delle persone interessate. Un altro punto critico riguarda quello che a mio avviso si configura come un indebolimento delle garanzie in materia di profilazione, che viene assimilata a qualunque altro trattamento di dati, e in materia di marketing diretto, che viene giustificato con il legittimo interesse del titolare.
L’Italia ha una tutela della privacy parecchio stringente: il nuovo substrato regolatorio si adatta al nostro sistema? O al contrario si rischia di creare “falle” o eccessi di rigidità burocratiche?
Occorre precisare in primo luogo che il D.lgs. 196/2003 – cosiddetto Codice privacy – è uno dei testi più completi ed organici a livello europeo. Peraltro il lavoro svolto dal Garante soprattutto in questi ultimi anni per adattare le norme alle complesse realtà tecnologiche è stato particolarmente importante. Mi riferisco, ad esempio, ai provvedimenti adotti in tema di profilazione online, di dati biometrici, di data breach. Le nuove disposizioni richiederanno tuttavia un grande sforzo per conformare le modalità di utilizzo dei dati e dei sistemi da parte dei privati e della pubblica amministrazione al nuovo Regolamento e, conseguentemente, un notevole impegno organizzativo e strutturale.
Il tema della privacy si va intrecciando in maniera sempre più stretta con quello della cybersecurity: cosa dobbiamo aspettarci?
Nella società digitale vulnerabilità dei sistemi che raccolgono dati personali significa vulnerabilità delle persone. Non lo hanno capito quanti continuano a confondere la privacy con la difesa egoistica di un privilegio personale, a considerarla un fastidioso intralcio alle misure di sorveglianza funzionali alla sicurezza. Purtroppo questa lettura ottocentesca della privacy trova ancora molti corifei. In realtà, la protezione dei dati diventerà sempre più presupposto ineludibile per la sicurezza: la raccolta massiva di dati allarga la superficie di attacco e rende più difficile difendersi dalla minaccia cibernetica. Sarà dunque decisiva la tempestività con cui i Governi sapranno cogliere questo nesso e adottare una conseguente strategia generale.
I Big data rischiano di trasformarsi in uno “tsunami” per la tutela della privacy?
I Big data rappresentano una delle principali sfide dei prossimi anni. Su questo terreno si riproporrà il dualismo tra quanti sostengono le ragioni dello sviluppo e dell’innovazione come prevalenti sui diritti individuali e quanti sosterranno che i diritti fondamentali non devono essere subalterni. Le nuove capacità di analisi e di elaborazione di ingenti quantità di informazioni consentono di estrarre conoscenza e, sempre più, di effettuare valutazioni predittive sui comportamenti delle persone. Per questo i Big data costituiscono un elemento centrale nella società dell’informazione, una straordinaria fonte di ricchezza per chi possiede i dati. Naturalmente, si pongono problemi complessi, tecnologici, giuridici, organizzativi, sociali.
Ad esempio?
Non c’è dubbio che sia forte il rischio di effetti lesivi, in generale non voluti e non controllabili. L’enorme potenzialità dei Big data, anche rispetto a dati anonimi o aggregati, si traduce, infatti, in profilazioni sempre più puntuali ed analitiche, con il rischio di nuove forme di discriminazione per le persone e, in generale, con nuove inedite forme di restrizione delle libertà. Un esempio banale: dati che svolgono per l’interessato una funzione di utilità sociale in un determinato contesto – come quelli sulla salute utilizzati per ricerche scientifiche – possono provocare un grave pregiudizio in un altro, magari in occasione della richiesta di coperture assicurative. Ma esistono anche situazioni più complesse che incidono fortemente sulla vita e sulla libertà delle persone. Perché le tecniche di re-identificazione sono sempre più raffinate, l’anonimizzazione è sempre più difficile e le informazioni sono ricavabili, anche all’insaputa degli interessati, da insiemi di dati – o da loro correlazioni – che, in origine, non erano nemmeno personali. Non è facile trovare soluzioni semplici.
Quali linee indicherebbe?
È in primo luogo importante adottare un approccio di assoluta trasparenza degli obiettivi che si intendono perseguire da parte di quanti gestiscono Big data, specie da parte delle PA che detengono anche più dei soggetti privati, dati rilevanti, sensibili e delicati di ciascuno di noi. Si dovranno definire modelli organizzativi utili per valutare concretamente i rischi, misure negoziali, licenze d’uso e insieme sarà indispensabile un grande impegno per incorporare le scelte normative a tutela dei diritti nelle tecnologie (privacy by design). Una vera e propria strategia che permetta di massimizzare i vantaggi dell’economia digitale garantendo al contempo la tutela dei cittadini.
